Kategori Security

Datei Transfer in citrix mit Zeichenablage…

Donnerstag, Juni 1st, 2017

Man kann ja zum Glück sagen das Citrix auch unter Linux läuft, aber wenn dies die einzige Art ist um mit einem Netzwerk zu kommunizieren. Muss man sich andere Hintertüren bauen um Daten ins/aus einem Netzwerk zu bekommen.

In meinem Fall wollte ich eine 1MB großes RPM kopieren. Hier für habe ich die Datei komplett, als base64 kodirte Daten, in die Zeichenablage geladen:

Zu dem habe ich natürlich die md5 Summe zur Intigritäts- Prüfung erzeugt.
md5sum Downloads/nginx-1.12.0-1.el7.ngx.x86_64.rpm
6ecea65dc0ed707df767e26d0825b00b Downloads/nginx-1.12.0-1.el7.ngx.x86_64.rpm

Dann habe ich die Daten in einem Citrix erbindung in einem Terminal gepastet:

Mit STRG + d kann man das schreiben in die Datei beenden. Anschließend noch einmal mit md5sum den gegen Test mach und schon ist die Datei auf der anderen Seite.

Transport Verschlüsselung E-Mail Provider

Samstag, Oktober 1st, 2016

Da Stiftung Warentest aktuell die erneuten Tests für E-Mail Server heraus gibt, habe ich mir mal die Mühe gemacht, die Transport Verschlüsselung auf unseren E-Mail Servern herauszufiltern um diese nach Ihrer ciphers zu untersuchen. Spannend war, dass mittlerweile alle eingehenden Verbindungen eine Recht hohe Sicherheit aufwiesen. Microsofts hotmail.com outlook.com so wie Mail.de waren die einzigsten, die noch ein CBS Mode verwenden. Alle anderen sind schon auf den neuen GCM Mode umgestiegen. Bei web.de, mail.de und mailbox.org haben anscheinend unersichtliche Server Infrastruktur die mit unterschiedlichen ciphers E-Mails Ausliefern.

google.com
ECDHE-RSA-AES128-GCM-SHA256

yahoodns.net
ECDHE-RSA-AES128-GCM-SHA256

t-online.de
ECDHE-RSA-AES256-GCM-SHA384

gmx.net und gmx.de
DHE-RSA-AES256-GCM-SHA384

web.de
DHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384

hotmail.com
ECDHE-RSA-AES256-SHA384

outlook.com
ECDHE-RSA-AES256-SHA384

freenet.de
DHE-RSA-AES256-GCM-SHA384

icloud.com
ECDHE-RSA-AES128-GCM-SHA256

mail.de
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
ECDHE-RSA-AES256-GCM-SHA384

mailbox.org
DHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384

posteo.de
ECDHE-RSA-AES256-GCM-SHA384

Die Resultate habe ich unter 100.000 E-Mailserver-Verbindungen der letzten Woche herauszufiltern. Sortiert sind die aufrufe nach Anzahl der Verbindungen wobei die Anzahl der letzten 3 Anbieter < 1% liegt.

WordPress Angriffe filtern

Montag, November 30th, 2015

Ich habe im August 2014 bereits eine Lösung mit iptables und fail2ban geschrieben. Da diese aber zu viele „fals positiv“ produziert hat, habe ich mich noch einmal hingesetzt und eine sowohl auf Performance als auch ohne fail2ban optimierte Lösung gesucht.

Mein zweiter Ansatz geht so vor, dass zuerst alle post requests in eine eigene iptbatles chain gepackt werden. Anschließen werden die in der chain noch übrig bleibenden anfragen nach den Schlüsselwörtern wie wp-login.php oder xmlrpc.php untersucht und mit einem Counter von 3 versehen. Beim dritten versuch ein falsches Passwort anzugeben werden die IPs der Botts für 600sec gesperrt.

UPDATE: Danke an Jens, die SSL Regeln für Port 443 können so natürlich nicht funktionieren und wurden entfernt.

howto enable cisco remote loggin

Freitag, April 17th, 2015

Um mitzubekommen welche Kable bzw. welche Portds am cisco Switch aktiviert werden leiten wir die Evends an einen Remote Server weiter.

An diesen haben wir lediglich in der /etc/rsyslog.conf das udp Modul aktiviert.
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

In der firewall den Port 514 geöffnet und den Dinst neugestartet.
/etc/init.d/rsyslog restart

Auf dem cisco switch habe ich dann den Server angegeben an den die Login daten gesendet werden sollen.
c6506(config)#logging 10.0.0.2

Und die Interfaces mitgeteilt das auf diesen mitgeloogt werden soll.
c6506(config-if-range)#interface range Gi1/1-48
c6506(config-if-range)#logging event link-status

In /var/log/syslog sieht das dann so aus:
%LINK-3-UPDOWN: Interface GigabitEthernet1/48, changed state to down
%LINEPROTO-SP-5-UPDOWN: Line protocol on Interface GigabitEthernet1/48, changed state to down

ssllabs overall rating zabbix check

Dienstag, Februar 3rd, 2015

Aktuell kann man fast jede Woche auf ssllabs.com nachschauen, ob das „rating“ einer Webseite mal wieder gefallen ist, einer der Server falsch konfiguriert ist oder einfach nur vergessen wurde Dienste neu zu starten. Um dies zu automatisieren hat ssllabs endlich eine api im development Modus freigeschaltet.

zabbix-check-ssllabs
Schade das in der api kein Feld ohne das trusted flag hinterlegt ist, so bekomme ich mit meinem CACert leider immer nur ein T.

Ich habe das mal für den Zabbix gescriptet. Alles was man braucht ist folgende ausführbare Datei im Ordner /etc/zabbix/externalscripts/zabbix-check-ssllabs.sh

Und natürlich ein Schema das man im Zabbix importieren muss:
(mehr …)